身份认证与授权控制课件.ppt

资源描述

《身份认证与授权控制课件.ppt》由会员分享，可在线阅读，更多相关《身份认证与授权控制课件.ppt（63页珍藏版）》请在三一办公上搜索。

1、身份认证与授权控制,CFCA 技术总监,主要内容一、认证与授权的基本概念二、身份认证与授权在信息安全中的重要性三、身份识别机制四、访问控制机制五、基于角色的访问控制策略PMI 六、结论,一、认证与授权的基本概念,为了满足用户的安全需求和安全策略的制定，ISO7489-2中定义了OSI 安全体系中，定义了五大安全服务与安全机制。其中就有认证与授权：1、认证：即身份识别与鉴别（Authentication）认证的实现需要两部分鉴别信息：用来鉴别而存储在发送地的信息。它是在连接建立或数据传输阶段某时刻使用，以便确认一个或多个连接实体的身份，防止冒充或连接的非授权重建；经过通信在发

2、送方得到的数据凭证。它是提供对数据单元的来源提供确认，但做不到对数据单元的重发和篡改的保护；,一、认证与授权的基本概念,l 安全服务在通信过程中提供两种鉴别：对某实体鉴别；数据源鉴别； 2、简单鉴别与强鉴别著名的X.509标准中，描述了两个级别的鉴别机制：l 简单鉴别（simple Authentication）基本上就是口令+ID的鉴别用于用户名的本地鉴别，一个用户实体与一个服务器实体之间的对某实体鉴别。其实现方法有以下几种：,一、认证与授权的基本概念, 将用户唯一标识名和口令（口令+ID）以明文的形式伟送给接受方；传输用户名+口令，用单句函数或对称密钥加密，加以

3、保护；传输中随机数加密保护；一次口令OTP 、刮刮卡（座标随机数）；,目录,B,A,一、认证与授权的基本概念,l l 强鉴别（Strong Authentication）强鉴别的技术基是PKI。涉及到公开密钥理论及数字证书以及数字签名等等。将是下节详述的重点。强认证主要有三种形式: 单向认证鉴别：只包括单一的由A向B传送鉴别信息的过程：如：网上银行的B2C认证，即银行B认证客户A即可。,A,B,一、认证与授权的基本概念,l l 强鉴别（Strong Authentication）双向认证鉴别：除上述过程外， B还将回答返送给A 如：网上银行的B2B交易认证，银行B不但要认证客户A，客

4、户A还要认证B是否是我的真正开户行。,A,B,（1）,（2）,一、认证与授权的基本概念,L 三向认证鉴别：具有将更进一步的信息由A传送给B 的能力。如：数字证书的签名或加密随机数等，很少用于商用。 3、访问控制（Access Control）l 防止用于非授权地使用OSI协议可存取的资源l包括基于规则策略的存取控制方式和基于存取身份的访问控制两种方式l可用于不同类型资源的访问：通信资源的使用；信息资源的存取；修改、处理资源的调用执行。,一、认证与授权的基本概念,l l 访问控制的具体手段：访问控制信息库；鉴别信息；权标（ACL）；安全标记； PKI；,二、身份认证与授权在信

5、息安全中的重要性,、1、信息安全定义：l在技术上和管理上为数据处理系统建立的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭即破坏、更改和泄漏。l 信息是一种资产，像其他重要的业务资产一样，对组织有价值，因此需要保护。、如果将信息系统视为一座硬固的城堡，可信的身份识别就是这个“信息城堡”（信息系统）的大门；用户的标识和鉴别是用户进入信息系统的第一道防线；3、访问控制。访问控制、通常也称授权（Authorization）,二、身份认证与授权在信息安全中的重要性,、l在确认用户身份进入信息系统后，确定用户能做什么操作； l起到越权使用资源的防御措施，限制对关键资源

6、的访问； l也防止合法用户的不慎操作而造成的破坏； l护网络资源受控地、合法地使用；,三、身份识别机制,l 解决的是“你是谁？你是否真的是你所声称的身份。” 1 、基于口令的鉴别采用口令来识别用户和应用程序，是延续多年的传统鉴别机制，它已老化，被不出现的新的、安全的鉴别机制所代替。微软软首席信息安全执行官宣布，在未来的3-4年中，在微软的系统中将取带这种口令+ID的身份认证方法。 l 方法：直接明文存贮和传输口令：口令是静态的风险最大极而被他人和黑客获取。 HASH散列存储口令：将口令以HASH散列单向函数作成“数字指纹”，并存贮口库中，每次用户输入口令，作两HASH值的比较，确定用

7、户身份。口令一旦被他人窃取，保证不了安全性。,三、身份识别机制,l, 一次性口令（OTP）每次用户登录系统，口令不是静态的，是变化的随机数，它来源于产生密码的运算因子是变化的。基于时间同步（Time Synchronous）认证技术：流逝的时间作变动因子。于事件同步（Even Synchronous）认证技术：以变动的数字序列作为密码产生器的一个运算因子。问题：用户使用时，因操作失误常引起不同步的问题；密码算法的管理存在风险。,三、身份识别机制,l, 动态口令,三、身份识别机制,l,2、基于令牌的鉴别机制是比较强的认证方法，给授权用户分配一个认证设备。通常称为“令牌”，它产生一

8、登录时必须使用的代码。方法：通过种子值和当前时间，采用伪随机算法产生令牌码；安全(令牌服务器）通过基于其记录中的种子值，产生它自己的一个当前有效代码。然后与用户提交的代码相比较，达到对用户认证的目的；缺点是算法不被信息系统使用者所知，存在安全风险，维护成本高。,三、身份识别机制,l,认证硬件设备。通常称为“令牌”，如图所示：,三、身份识别机制,l, 一次性口令（OTP）每次用户登录系统，口令不是静态的，是变化的随机数，它来源于产生密码的运算因子是变化的。基于时间同步（Time Synchronous）认证技术：流逝的时间作变动因子。于事件同步（Even Synchronous）

9、认证技术：以变动的数字序列作为密码产生器的一个运算因子。问题：用户使用时，因操作失误常引起不同步的问题；密码算法的管理存在风险。,三、身份识别机制,l,3、基于智能卡鉴别机制智能卡（Smart card）：是一个带CPU的安全芯片卡具有自己的操作系统COS，安全加解密算法；一般为接触式的，用户需要读卡器；内置加密口令或数字证书、私钥等，实现身份认证缺点：费用高，需要读卡器。 4、基于生物特征的鉴别机制：l 指纹识别：每个人的指纹皮肤纹路是唯一的 l 网膜识别：利用激光照射眼球的背面，扫描摄取几百个视网膜的特征点，采用指纹识别算法进行比对； l形态、语言识别：记录声音的波形

10、和变化，并进行频谱分析，脸型、走路形态分析；,三、身份识别机制,l,5、基于量子计算机是以量子力学原理直接进行计算的计算机.它比传统的图灵计算机具有更强大的功能,它的计算速度要比现代的计算机快几亿倍。所以量子计算机向目前采用的网络保密的密码技术提出了挑战.它是利用一种新的量子密码的编码方法,即利用光子的相位特性编码。这种密码与传统密码在被窃听破解时不留下痕迹不同,由于量子力学的随机性非常特殊,无论多么聪明的窃听者,在破译这种密码时都会留下痕迹,甚至在密码被窃听的同时会自动改变。,三、身份识别机制,l,6、基于PKI 的身份认证目前国内外普遍使用的、技术成熟的、可实际使用的还是基于PKI

11、的数字签名技术的认证。作为公钥基础设施可提供多种网上安全服务，主要是认证、授权、数据保密性、数据完整性和不可否认性。其中安全需求对认证服务是100%。本文将重点叙述。,四、PKI的安全认证机制,1、PKI的定义 PKI（Public Key Infrastructure) 的缩写工程专家定义： PKI 是创建、颁发、管理、撤消公钥证书所涉及到的所有软件、硬件的集合体；它涉及过程策略规范CP(Certificate Policy)、法律法规 CPS(Certification Practice Statement)、人员等学术界定义：PKI是一种遵循标准的利用非对称密码算法原理来实现并提供

12、安全服务的具有通用性的安全基础设施,四、 PKI的安全认证机制, 网络普适性的安全基础设施为网上通信提供通用安全服务的基础平台遵循标准（X。509、PKCS#、PKIX，）为电子商务、电子政务、网上银行、网上证券提供一整套安全基础保障核心元素：数字证书核心执行机构：CA,四、 PKI的安全认证机制,2、什么是认证机构CA（Certification Authority的缩写） CA是PKI 的核心执行机构 CA是PKI的主要组成实体 CA由证书签发服务器、RA、LDAP等系统组成为电子商务环境中各个实体颁发电子证书负责在交易中检验和管理证书电子商务和电子政务的权威性、可信赖性

13、及公正性的第三方机构,四、 PKI的安全认证机制,3、CA组成和功能：证书及证书库(目录服务器LDAP、CRL）密钥管理中心（KMC）密钥备份及恢复密钥和证书的更新证书历史档案客户端软件（控件、PROXY）交叉认证,四、 PKI的安全认证机制,远程,LRA,远程,LRA,RA中心,操作CA,RA的结构（续）,4、什么是数字证书, 证书在X.509标准中定义为一种安全机制；是 PKI 的核心元素；公钥体制中密钥管理的媒介(证书中置有公钥）；证明实体与公钥的匹配关系；证明网上实体身份的真实性；证明网上传输、交易的不可抵赖性；是一个权威性电子文档（2K）；证书存放的最好

14、介质是USB Key；证书由权威的、可信任的、公正的第三方机构 CA 所签发；数字证书的逻辑表达式：CAA=CAV，SN，AI，CA，UCA，A，UA， AP，TA,4-1、证书的内容,Certificate Format Version：证书版本号 Certificate Serial Number：证书序列号 Signature Algorithm Identifier：签名算法标识。 Issuer Name：签发此证书的CA名称 Validity Period：证书有效期。 notBefore：起始日期 notAfter：终止日期 Subject Name：用户主体名称。 Subje

15、ct Public Key Information：用户主体公钥信息： algorithmAlgorithmIdentifier：算法标识 subjectPublicKey：用户主体公钥。 Issuer Unique ID：颁发者可选唯一标识 Subject Unique ID:主体证书拥有者唯一标识。,4-2、证书的主要内容,Extensions：证书扩充部分(扩展域)。 Authority Key Identifier：签发者CA的公钥标识 Key Identifier：公钥标识 Cert Issuer：证书签发者的甄别名 Cert Serial Number：签发证书的序列号。 Subj

16、ect Key Identifier：用户主体的公钥标识。 CRL Distribution Point: CRL分布 Key Usage：证书中的公钥用途 Private Key Usage Period：用户的私钥有效期。 notBefore：起始日期 notAfter：终止日期 Certificate Policies ：CA承认的证书政策列表。,4-3、证书的主要内容,Certificate Policies ：CA承认的证书政策列表。 Policy Mappings:策略映射。 Subject AltName：用户的代用名。 Policy Mappings:策略映射。 Subjec

17、t AltName：用户的代用名。 Issuer AltName：CA的代用名。 Basic Constraints ：基本制约。 Subject Directory Attributes:用户主体目录属性。 - Signature Algorithm:CA签名算法标识。 CA Signature：CA签名。,4-4、证书的主要介质USBKEY是目前被各界广泛应用的数字证书介质，它是PKI技术的完善，它由智能芯片所组成，内存密码算法、公钥证书及其对应私钥，签名、加密在 KEY 中进行，私钥不出卡，KEY中内容不可拷贝。目前，指纹KEY已面市，将KEY的 PIN 码用指纹代替认证，是双强因子认证

18、。适合身份认证要求高，保密性强的企业高管层应用,序列号,颁发者唯一识别名,有效期,主体唯一识别名,主体公钥,密钥/证书用途,扩展域,CA签名,数字摘要,CA私钥,数字签名,5、 X.509 证书格式和签名,CA,证书库,Internet,浏览器,Web 服务器,LDAP,LDAP,CA,证书库,Internet,浏览器（证书）,Web 服务器（证书）,6、目录认证查询,四、PKI的安全认证机制,7、安全应用软件, 数字签名,8、数据电文和交易表单的签名过程,如果接收方对签名验证成功，说明四个问题：（1）该电子文件确实是签名方发出的（认证-身份真实性） “电子签名

19、制作数据用于电子签名时，属于签名人专有”（电子签名法第十三条（一）；（2）被签名的数据电文件确实是发方所签发（不可否认性） “签署时电子签名制作数据仅由签名人控制。（电子签名法第十三条（二）”；,9、数字签名验证结果,( 3) 接收方收到的电子文件没有被篡改（完整性） “签署后对电子签名的任何改动能够被发现” （电子签名法第十三条（三） “签署后对数据电文内容和形式的任何改动能够被发现” （电子签名法第十三条（四）； (4)、可靠的电子签名与手写签名或盖章具有同等的法律效力。,9、数字签名验证结果,在ISO标准中，访问控制是五大服务的重要组成之一。用访问控制（Acc

20、ess Control）与授权（Authorization）来表示ISO中访问控制服务。解决的是：“你能做什么？你有什么样的权限？” 1、定义：访问控制是通过某种途径式地准或限制访问能力及范围的一种方法。它针对防范越权使用资源的措施，限制对关键资源的访问；也涉及对合法用户的行为限制，通过一种参考监视器来进行的。,五、授权与访问控制机制,2、访问控制包括： l 主体（Subject）：发出访问操作、存取要求的主动方，是用户或用户的某个进程； l 客体（Object）：被访问的对象，是被调用的程序、进程，要存取的数据、信息、要访问的文件、系统或各种网络设备等资源； l 安全访问政策：

21、一套规则，包括策略与机制，用以确定一个主体否对客体拥有访问能力。,五、授权与访问控制机制,3、访问控制目的：在用户身份已得到认证的前提下，限制主体对访问客体的访问权限，使计算机系统在合法的范围内使用；决定用户能做什么；决定代表一定用户利益的程序能做什么。访问控制目的是“你能做什么，你有什么样的权限”。访问控制还必须与审计结合起来，审计是对系统中所有的用户需求和行为进行后验分析，确保被授权的用户不滥用其特权。,五、授权与访问控制机制,4、访问控制方式：访问控制列表（Access Control list）：目前最广泛采用的方式: 对一个特定资源指定任意一个用户的访问权限将

22、有相同权限的用户分组，授予组的访问权,五、授权与访问控制机制,JohnOwnRW,AliceR,AliceRW,AliceOwnRW,BobR,File 1,File 2,五、授权与访问控制机制,JohnOwnRW,AliceW,AliceR,BobOwnRW,File 3,File 4, 优点：直观而理解; 容易查出对某特定资源拥有访问权限的所有用户; 有效实施管理; 缺点：不宜用于网络规模大，需求复杂的企业内部网络,l 授权（Authorization）关系列表,五、授权与访问控制机制,五、授权与访问控制机制, 每一行（一个元组）表示了主体和客体的一个权限关系； John访问File

23、l的权限关系需要3行；适合于关系型数据库的访问能力与控制；5、自主型访问控制策略自主型访问控制策略（Discretionary Access Control，DAC）控制了用户对信息的访问。依据是用户的身份与授权。为系统中每位用户（或用户组）和客件规定了用户允许对客体进行访问的方式（如：读、写或执行）,五、授权与访问控制机制, 用上读/下写来保证数据的完整性所谓上读，指的是低信任级别的用户能够读高敏感的信息；所谓下写，指的是允许高敏感度的信息写入低敏感度区域。采取上读/下写的意义在于可以实现数据的完整性。 MAC可用于抵御特洛伊木马等攻击，强制访问控制MAC的主要缺陷在于实现工作量

24、太大，管理不便，不够灵活，而且MAC由于过于偏重保密性，对其他方面如系统连续工作能力、授权的可管理性等考虑不足。自动访问控制策略的弹性使它适合于多种系统及应用，如windows 、 unix 缺点：易改变授权的权限，产生安全漏洞，C级,五、授权与访问控制机制,6、强制访问控制策略强制访问控制策略（Mandatory Access Control,MAC）是“强加”给访问主体的，即系统强制主体服从访问控制政策。 MAC将系统中的主体和客体分类进行控制访问，预先将主、客体分级别；用户可信级别：（绝密、机密、秘密、非保密）信息的敏感度（绝密TS、机密S、秘密 C、非保密U）；用户提出访问

25、时，系统对主、客体两者进行比较以确定访问是否合法。用下读/上写来保证数据的保密性,五、授权与访问控制机制,所谓下读，指的是低信任级别的用户不能读高敏感度的信息，只能读比它信任级别更低的低敏感信息；所谓上写，指的是不允许高敏感度的信息写入低敏感度区域，只能写入更高敏感度区域。采取下读/上写后，信息流只能从低级别流向级别，可保证数据的保密性。其中对主体和客体都分为4级：TS（绝密级）、S（机密级）、C（秘密级）、无密级）；等级关系为TSSCU。,五、授权与访问控制机制,五、授权与访问控制机制,上读/下写来保证数据的完整性。所谓上读，指的是低信任级别的用户能读高敏度的信息；所谓下写，指的是允许

26、高敏感度的信息写入低敏感度区域。采取上读/下写的意义在于可以实现数据的完整性。MAC 可以抵御木马的攻击，强制访问控制MAC的主要缺欠在于工作量太大，管理不便，不够灵活，而且MAC 过于保密性，对其系统连续工作能力、授权的可管理性考虑不足。,六、基于角色访问控制策略PMI,1、 PMI（Privilege Management Infrastructure）称特权管理基础设施l 问题的提出虽已有很多成熟的访问控制或授权服务DAC.ACL.RBAC模型等，但缺乏全面有效的权限管理平台。存在权限管理混乱，影响系统安全；由于不同系统采用不同权限管理策略，增加了系统管理员的负担；应用开发复杂

27、、费用增高。ll PMI的定义PMI是权限管理基础设施或称授权管理基础设施。它是属性证书、属性权威、属性证书库某部件的集合体，用来实现权限和证书的产生、管理、存贮、分发和撤消等功能。,六、基于PMI的访问控制,2、 PMI的组成l 属性权威AA（Attribute authority）：用来生成并签发属性证书（Attribute Certificate,即AC）的机构；它负责管理属性证书的整个生命周期；l 属性证书AC：对于一个褓的权限的即定是由一个被数字签名了的数据结构来提供的，这种数据结构称为属性证书，由属性权威签发并管理。AC一般被称作身份证书PKC（Publickey Certific

28、ate）l PMI能够与PKI和目录服务紧密地集成；系统的建立对认可用户的特定授权；对权限管理进行了系统的定义和描述；提供授权的完整过程。,五、授权与访问控制机制,3 PMI目标向用户和应用程序提供权限管理和授权服务为目标，访问控制与审计结合，对系统中所有的用户需求和行为进行后验分析，确保被授权的用户不滥用其特权。4、PMI功能：l负责向业务应用系统提供与应用相关的授权服务和理；l提供用户身份到应用授权的映射功能；l实现与实际应相对应、与具体应用系统开发和管理无关的访问控制机制；5、 PKI与PMI的关系二者之间的主要区别：,五、授权与访问控制机制,l PMI主要进行授权管理，证

29、明这个用户有什么权限， “你能干什么？” l PKI主要进行身份认证，即身份识别与鉴别，证明用户身份，即“你是谁？” 它们之间的关系类似于护照和签证的关系l 相似概念： AC PKC AA CA 根CA SOA,五、授权与访问控制机制,6、属性证书和格式：属性证书AC：对于一个实体的权限的绑定是由一个被数字签名了的数据结构来提供的，这种数据结构称为属性证书, 由属性权威签发并管理。一些应用使用属性证书来提供基于角色的访问控制。属性证书的格式如下：版本号；属性证书的版本号；持有者；属性证书持有者信息。一般是持有者公钥证书DN和公钥证书颁发者DN的组合）；颁发者；属性证书的

30、颁发者信息（一般是颁发者公钥证书DN）签名算法；,五、授权与访问控制机制,属性证书的格式（续）：属性证书使用的签名算法序列号属性证书的序列号有效期属性证书的生效和失效日期属性属性证书签发者对属性证书的签名属性证书持有者的属性信息扩展项定义诸如无撤销信息、证书颁发者密钥标识符、 CRL分布点、角色定义证书标识符及其他信息。签名信息,五、授权与访问控制机制,7、属性证书的特点：l 分立的发行机构：身份证书与一个或几个属性证书可由不同的机构发行。l 存贮介质：一般存于磁盘或USBkey中，或系统负责统一管理即不用分发客户，由系统托管方便。l 本地发放：本地发放，管理证书

31、架简，安全措施和证书发放手续简化，可被系统外安全应用。基于属性：而不是基于身份进行访问控制。 8、属性证书的申请与发布、撤消、管理与PKI证书类似。,五、授权与访问控制机制, 访问控制抽象模型,五、授权与访问控制机制,10、 PMI访问控制流程：l 访问者发出对某一目标的访问请示，被策略实施点截获；策略实施点对请求进行处理，据用户信息，操作请求和目标形成决策请求，发给决策点；l策略决策点根据用户权限，策略规则对决策请求进行判断，并将决策结果返给策略执行点，允许/拒绝l策略执行点根据决策结果执行访问或拒绝访问系统使用流程如下：,五、授权与访问控制机制,使用流程如下：,五、授权与访

32、问控制机制,11、应用安全抽象模型：这是一个金盾工程的应用安全抽象模型：客户端与服务器端用安全代理软件proxy。l 身份认证由PKI/CA中心实现；l 访问控制由各业务应用系统统一制定访问控制策略标准来执行。如下图所示：,五、授权与访问控制机制,11、应用安全抽象模型：,结束语,1、 PKI是目前身份认证诸多方法中，最选进，最好的机制，它能准确安全的确定：“你是谁？”、 “你是否是声明身份的你自己”。达到身份认证，身份识别与鉴别的目的。 2、 PMI是目前访问控制诸多方法中，最先进，最完善的机制。它能安全确切的指引你在信息系统中 “你能干什么？”“你能访问什么信息。” 3、身份认证与授权控制是信息系统安全防范的第一道防线。一定要很好把好这一关口。,谢谢,2007年5月29日,

展开阅读全文